Pourquoi ne puis-je pas détacher ou supprimer une interface réseau Elastic créée par Lambda ?

Brève description

Vous pouvez supprimer une interface réseau uniquement via Lambda. Si vous supprimez les ressources que représente l'interface réseau, le service Lambda détache et supprime l'interface réseau automatiquement. Pour supprimer les interfaces réseau inutilisées, Lambda emploie le rôle d'exécution des fonctions qui ont créé les interfaces réseau. Cependant, vous ne pouvez pas supprimer les interfaces réseau utilisées par une fonction ou une version de fonction.

Lambda partage des interfaces réseau entre plusieurs fonctions et mappages de sources d'événements dotés de la même configuration Amazon Virtual Private Cloud (Amazon VPC). Pour réduire le nombre d’interfaces réseau que vous utilisez dans votre compte AWS, vous pouvez partager les interfaces réseau.

Résolution

Remarque : Si des erreurs surviennent lorsque vous exécutez des commandes de l'interface de la ligne de commande AWS (AWS CLI), consultez la section Résoudre des erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l'AWS CLI.

Identifier les fonctions et les versions de fonction qui utilisent l'interface réseau

Remarque : Les commandes sont uniquement valides pour les systèmes d'exploitation Linux et Unix.

Pour identifier les fonctions ou les versions de fonction qui utilisent actuellement une interface réseau, utilisez le Lambda ENI Finder sur le site Web de GitHub.

Procédez comme suit :

1. Configurez l'interface de ligne de commande AWS avec un rôle Gestion des identités et des accès AWS (AWS IAM) autorisé à interroger Lambda et les interfaces réseau.
   Important : Lambda utilise les autorisations associées au rôle d'exécution d'une fonction pour supprimer une interface réseau Elastic Hyperplane. Supprimez uniquement le rôle d'exécution une fois que Lambda a supprimé l'interface réseau Elastic Hyperplane.

2. Pour installer le processeur JSON en ligne de commande jq, exécutez la commande suivante :

   sudo yum install jq -y

   Remarque : Pour plus d'informations, consultez la page jq sur le site Web de jq.

3. Pour installer Git, exécutez la commande suivante :

   sudo yum install git -y

   Remarque : Pour plus d'informations, consultez la section Mise en route - installation de Git sur le site Web de Git.

4. Pour cloner le référentiel GitHub aws-support-tools, exécutez la commande suivante :

   git clone https://github.com/awslabs/aws-support-tools.git

   Remarque : Pour plus d'informations, consultez la page aws-support-tools sur le site Web de GitHub.

5. Pour déplacer le répertoire vers l'emplacement du Lambda ENI Finder, exécutez les commandes suivantes :

   cd aws-support-tools    
   cd Lambda  
   cd FindEniMappings

6. Pour exécuter le Lambda ENI Finder pour l'interface réseau que vous souhaitez supprimer, exécutez la commande suivante :

   ./findEniAssociations --eni eni-0123456789abcef01 --region us-east-1

   Remarque : Remplacez eni-0123456789abcef01 par l'ID de l'interface réseau et remplacez us-east-1 par la région AWS dans laquelle se trouve l'interface réseau. Pour plus d'informations, consultez la section Interfaces réseau gérées par le demandeur.

La sortie renvoie une liste des fonctions et des versions de fonction Lambda qui utilisent l'interface réseau dans votre compte et région. Si vous avez besoin de l'une de ces fonctions ou versions de fonction, ne supprimez pas l'interface réseau.

Si la sortie ne répertorie aucune fonction ou version de fonction, vérifiez si les services suivants de votre compte utilisent l'interface réseau :

• Amazon Managed Streaming for Apache Kafka (Amazon MSK)
• Apache Kafka autogéré
• Amazon MQ pour ActiveMQ
• Amazon MQ pour RabbitMQ
• Amazon DocumentDB (compatible avec MongoDB)

Identifier les mappages des sources d'événements qui utilisent l'interface réseau

Utiliser l’interface de ligne de commande AWS

Procédez comme suit :

1. Configurez l'AWS CLI avec un rôle IAM disposant d’autorisations pour interroger Lambda, Amazon MSK, Amazon MQ et Amazon DocumentDB.
   Remarque : Lambda utilise les autorisations dans le rôle d'exécution de la fonction associée au mappage des sources d'événements pour supprimer l'interface réseau Elastic Hyperplane. Supprimez uniquement le rôle d'exécution une fois que Lambda a supprimé l'interface réseau Elastic Hyperplane.

2. Pour répertorier les mappages des sources d'événements, exécutez la commande list-event-source-mappings suivante :

   aws lambda list-event-source-mappings --query 'EventSourceMappings[?State != Disabled]'

3. Vérifiez le champ EventSourceArn ou SelfManagedEventSource pour chaque mappage des sources d'événements.
   Si le champ EventSourceArn contient un Amazon Resource Name (ARN) pour un cluster Amazon MSK, un agent Amazon MQ ou un cluster Amazon DocumentDB, notez l'ARN.
   Pour afficher les détails du cluster ou de l’agent, exécutez l'une des commandes suivantes pour la source de l'événement.
   Pour Amazon MSK, exécutez la commande describe-cluster-v2 suivante :

   aws kafka describe-cluster-v2 --cluster-arn MSK_CLUSTER_ARN

   Remarque : Remplacez MSK_CLUSTER_ARN par l'ARN de votre cluster MSK.
   Pour Amazon MQ, exécutez la commande describe-broker suivante :

   aws mq describe-broker --broker-id MQ_BROKER_ID

   Remarque : Remplacez MQ_BROKER_ID par votre ID d’agent Amazon MQ.
   Pour Amazon DocumentDB, exécutez la commande describe-db-clusters suivante :

   aws docdb describe-db-clusters --db-cluster-identifier DOCDB_CLUSTER_ID

   Remarque : Remplacez DOCDB_CLUSTER_ID par l'ID de votre cluster Amazon DocumentDB.

4. Dans la sortie de la commande, vérifiez si le cluster ou l’agent utilise les mêmes ID de sous-réseau et de groupe de sécurité que l'interface réseau.

5. Si le champ SelfManagedEventSource existe, vérifiez si les ID de sous-réseau et de groupe de sécurité de l'interface réseau sont répertoriés sous SourceAccessConfigurations dans le mappage des sources d'événements.

Utiliser la console Lambda

Remarque : Pour vérifier le mappage des sources d'événements pour Apache Kafka autogéré, vous devez utiliser la console Lambda.

Procédez comme suit :

1. Ouvrez la console Lambda.
2. Dans le volet de navigation, sélectionnez Mappages des sources d'événements.
3. Vérifiez la colonne Service de la source d’événement pour trouver des mappages de sources d'événements pour apache kafka, docdb, msk ou mq.
4. Pour docdb, msk ou mq, notez le nom du cluster ou de l’agent sous Ressource de la source d'événement. Pour apache kafka, choisissez l'UUID du mappage des sources d'événements, puis passez à l'étape 8.
5. Utilisez la console Amazon MSK, Amazon MQ ou Amazon DocumentDB pour rechercher le nom du cluster ou de l’agent.
6. Choisissez le nom du cluster ou de l’agent pour en afficher les détails.
7. Dans les paramètres réseau, vérifiez que vous avez configuré le cluster ou l’agent pour utiliser les mêmes ID de sous-réseau et de groupe de sécurité que l'interface réseau.
8. Choisissez l'ARN de la source d'événement pour votre service afin d'afficher la source de l'événement et les configurations de service.
9. Sous Configurations d'accès à la source, vérifiez si les ID de sous-réseau et de groupe de sécurité de l'interface réseau sont répertoriés.

Supprimer une interface réseau créée par Lambda

Procédez comme suit :

1. Exécutez le script Lambda ENI Finder.
2. Pour chaque version non publiée de la fonction Lambda ($LATEST) répertoriée, effectuez l'une des étapes suivantes :
   Modifiez la configuration Amazon VPC pour utiliser un sous-réseau et un groupe de sécurité différents.
   -ou-
   Déconnectez la fonction de l'Amazon VPC.
3. Pour les versions de fonction Lambda publiées, supprimez chacune d'elles.
   Remarque : Étant donné que les versions de fonction publiées ne peuvent pas être modifiées, vous ne pouvez pas modifier la configuration du VPC.
4. Pour chaque mappage des sources d'événements Lambda qui utilise l'interface réseau, désactivez ou supprimez le mappage des sources d'événements.
5. Pour vérifier que l'interface réseau n'est plus utilisée, exécutez à nouveau le script Lambda ENI Finder.

Lambda supprime automatiquement l'interface réseau lorsque les deux paramètres suivants sont vérifiés :

• La sortie ne répertorie aucune autre fonction ou version de fonction.
• Le mappage des sources d'événements n'utilise pas l'interface réseau.

Important : Si vous avez associé les scrapers Amazon Managed Service pour Prometheus aux interfaces réseau Lambda, assurez-vous de les trouver et de les supprimer.

Informations connexes

Comment puis-je obtenir des interfaces réseau Elastic supplémentaires si j'ai atteint la limite dans une région AWS ?